WordPress è una piattaforma open source che rende la costruzione di un sito web facile come pochi clic. Poiché WordPress è open-source, si aggiorna e cambia sempre.
Tuttavia, sono questi stessi vantaggi che portano anche a molte vulnerabilità all'interno della piattaforma stessa.
Più di 70% dei siti Web WordPress oggi sono vulnerabili agli attacchi degli hacker.
Perché WordPress è una scelta così popolare per gli hacker? In realtà, ci sono una serie di ragioni convincenti:
- Alcuni siti Web WordPress non si aggiornano e utilizzano ancora versioni obsolete
- Esistono oltre 74 diverse versioni di WordPress
- Temi e plugin open source accolgono ancora più rischi
Sembra che ogni giorno senti parlare di un nuovo attacco online. Sono a rischio solo le grandi aziende? Affatto.
Un sorprendente 43% di tutti gli attacchi informatici sono contro le piccole imprese. Ciò significa che è importante essere informati e adottare misure per proteggere la sicurezza del proprio sito Web.
Poiché WordPress è il sistema di gestione dei contenuti (CMS) più popolare, è destinato a essere il bersaglio della maggior parte degli attacchi online. Gli hacker stanno diventando più forti che mai, quindi non è sufficiente aspettare che accada qualcosa.
Ecco 30 modi per proteggere il tuo sito Web WordPress da attacchi e violazioni dei dati.
Hosting
Innanzitutto, ti consigliamo di adottare alcune misure diverse per proteggere il tuo sito Web tramite il tuo host. Questa è considerata sicurezza back-end ed è generalmente la più potente. Ecco alcune idee per iniziare a proteggere il tuo sito Web WordPress in modo efficace.
1. Scegli la giusta compagnia di hosting
Se hai un provider di hosting scadente, le tue opzioni di sicurezza saranno limitate. Il giusto provider di hosting è proattivo sui problemi, non reattivo.
Mentre sei tentato di scegliere il provider di hosting più economico, renditi conto che ciò potrebbe causare problemi lungo la strada. UN host di qualità aggiunge più livelli di sicurezza e velocizzerà notevolmente il tuo sito web.
2. Installa un certificato SSL
Conosciuti come Single Socket Layer, i certificati SSL non sono più facoltativi, indipendentemente dal tipo di sito Web che si esegue. Se gli utenti inseriscono qualsiasi tipo di informazione (anche un indirizzo e-mail), è necessaria questa sicurezza.
Un SSL protegge il tuo browser in modo che le informazioni degli utenti non siano disponibili per gli hacker. La maggior parte degli host ora fornisce un certificato SSL gratuitamente o incluso nel costo dell'hosting.
3. Nascondi la tua directory WP-Admin
La tua directory WP-Admin contiene tutti i tuoi file core. Se è danneggiato, l'intero sito Web è a rischio. Tramite cPanel, aggiungi una password alla tua directory WP-Admin per una maggiore sicurezza.
4. Monitora i tuoi file
L'uso di un plug-in in grado di monitorare i tuoi file ti garantirà maggiore sicurezza. Non tutti abbiamo il tempo o le competenze per cercare malware tra i nostri file.
I Wordfence plug-in aggiunge un firewall sicuro.
5. Modifica il prefisso
Tutti i file WordPress vengono forniti con l'impostazione predefinita WP prefisso. Cambiare questo in qualcosa di unico ti renderà meno incline alle iniezioni SQL del database. Tuttavia, eseguire sempre il backup del sito Web prima di apportare modifiche al database.
6. Effettuare backup
Parlando di backup, eseguili regolarmente. Non importa quanto sia sicuro il tuo sito Web, le cose possono ancora andare male. Avere un di riserva ti consentirà di ripristinare il tuo sito Web in pochi clic.
7. Password complesse per il database
Anche il tuo database ha bisogno di una password complessa. Assicurati che cPanel abbia anche una password difficile con una stringa di caratteri, numeri e simboli casuali.
8. Imposta autorizzazioni directory
Se stai utilizzando un host condiviso, ti consigliamo di proteggere le autorizzazioni della tua directory. L'impostazione delle autorizzazioni della directory su "755" e i file su "644" proteggeranno l'intero sistema. Lo farai nel tuo file manager all'interno di cPanel.
9. Prevenire Hotlinking
Il collegamento a caldo è quando qualcuno acquisisce un'immagine ospitata sul tuo server e la visualizza sul proprio sito Web collegandosi all'URL del file. Questo è un rischio per la sicurezza e aumenta anche il carico sul tuo server.
È possibile impedire hotlinking tramite Tutto in un plug-in WP Security e Firewall.
Temi e plugin
Sapevi che i problemi potrebbero essere in agguato nei tuoi temi? Questi possono essere creati da chiunque e non sono sempre sicuri. Ecco alcune buone pratiche.
10. Non usare un tema "incrinato"
Un tema "incrinato" è una versione compromessa di un tema premium offerto per "gratis". Potrebbero sembrare un ottimo modo per ottenere siti Web dall'aspetto professionale a costo zero, ma c'è un rischio enorme.
Vale a dire, questi temi hanno spesso codici dannosi nascosti che possono danneggiare il tuo sito Web.
11. Aggiorna i tuoi temi
Molti temi, come lo stesso WordPress, offrono numerosi aggiornamenti durante il loro ciclo di vita. Aggiorna sempre i tuoi temi per assicurarti di avere le ultime patch di sicurezza installate sul tuo sito web.
12. Scegli il tuo tema con attenzione
Non è sempre facile sapere se un tema è sicuro. I temi più sicuri si troveranno probabilmente nella directory dei temi ufficiale di WordPress poiché hanno un rigoroso processo di revisione.
Un'altra opzione è quella di scegliere un venditore rispettabile che abbia dimostrato un impegno per la sicurezza. Se un affare sembra troppo bello per essere vero, probabilmente lo è.
13. Disabilita plugin inattivi
Non conservare più del necessario sul tuo sito Web. Non solo avere dozzine di plugin inattivi riduce le prestazioni del tuo sito Web, ma è anche meno sicuro. Disattiva ed elimina tutti i plugin che non usi regolarmente.
14. Usa il supporto WooCommerce
Se stai utilizzando una piattaforma o un plug-in e-commerce come WooCommerce, assicurati di prendere misure di sicurezza aggiuntive. Trovare il miglior partner di supporto WooCommerce è un passo importante. Non vuoi rischiare il tuo business online.
Accedi
L'uso di password errate o misure di accesso può significare un incubo per il tuo sito web. Potrebbe sembrare semplice, ma queste cose sotto fanno una differenza enorme.
15. Utilizzare una password complessa
La tua password è facile da indovinare? Se stai usando qualcosa di facile come il tuo compleanno, il nome del tuo animale domestico o 123456, è tempo di aggiornare. Certo, questi sono facili da ricordare, ma ciò li rende anche semplici da indovinare per gli hacker.
L'uso di una password complessa con più numeri, lettere e caratteri speciali è la chiave. Uno strumento simile LastPass assegnerà una combinazione senza senso di lettere, numeri e caratteri e la memorizzerà in modo sicuro per te.
16. Cambia la tua password
Anche con una password sicura, ti consigliamo di cambiarla regolarmente. Cambiarlo almeno una volta ogni 3 mesi è una buona idea.
17. Modifica l'URL di accesso WP
Di default il tuo login WordPress è yoursite.com/wp-admin. Perché tutti lo sanno, è facile ottenere l'accesso alla tua pagina di accesso. È intelligente modificare questo URL, quindi non è facile indovinarlo.
È possibile modificare il nome URL tramite la cartella FTP WordPress semplicemente rinominandolo in qualcosa di meno indovinabile.
18. Abilitare l'autenticazione a due fattori
L'autenticazione a due fattori è un ulteriore livello di sicurezza. Invece di inserire semplicemente una singola password all'accesso, gli utenti dovranno completare un passaggio aggiuntivo.
Di solito si tratta di un codice di testo inviato al telefono o all'email dell'utente. L'autenticazione a due fattori è un modo estremamente sicuro per impedire agli hacker di ottenere l'accesso.
Google Authenticator ed Plugin di autenticazione a due fattori per WordPress sono ottime soluzioni.
19. Limitare i tentativi di accesso
WordPress consente agli utenti di tentare di accedere tutte le volte che vogliono per impostazione predefinita. Questo può aiutare gli hacker ad entrare con la forza bruta.
Limita invece i tuoi tentativi di accesso che bloccheranno temporaneamente gli utenti che tentano di ottenere l'accesso. Il Blocco accesso WordPress plugin lo farà per te.
20. Usa la tua email
Invece di utilizzare un nome utente per accedere, usa la tua email. Mentre i nomi utente sono facili da prevedere, un ID e-mail è molto più impegnativo. A tutti gli utenti di WordPress viene assegnato un indirizzo email univoco, quindi questo è un modo valido per accedere.
21. Disconnetti Utenti inattivi
Lasciare aperta la pagina della dashboard non è sicura. Il tuo sito Web può essere lasciato aperto su un computer pubblico e quindi modificato da chiunque entri in contatto con quel computer successivo. Abilita il logout automatico per tutti gli utenti inattivi. BulletProof Security il plugin ha questa funzione.
22. Non utilizzare mai il nome utente amministratore
Quando crei per la prima volta il tuo sito Web WordPress, imposta il tuo profilo amministratore su "admin" come nome utente. Questo è estremamente facile da indovinare e dovrebbe essere evitato a tutti i costi.
WordPress Sicurezza
Infine, discutiamo come proteggere WordPress stesso. Assicurati che queste cose di seguito siano di seconda natura.
23. Installa un plugin di sicurezza per WordPress
I plugin di sicurezza sono progettati per un motivo. Poiché è troppo dispendioso in termini di tempo per controllare manualmente il sito Web alla ricerca di malware e altri software dannosi, è necessario un modo per automatizzare questo processo.
Un plug-in di sicurezza lo farà per te, quindi non avrai bisogno di ulteriori competenze tecniche. Sucuri ed WordFence sono ottime opzioni.
24. Disabilita la modifica dei file
Su WordPress, è facile accedere e modificare i file direttamente nel browser. Ciò significa che chiunque può accedere al tuo sito Web può pasticciare con codice e file preziosi. Questo è accessibile tramite Aspetto > Editor. Disabilita questa funzione per una maggiore sicurezza.
25. Aggiorna WordPress
Sì, il modo più semplice per proteggere il tuo sito Web WordPress è impostare aggiornamenti automatici. Ogni aggiornamento include funzionalità di sicurezza avanzate, il che significa che il tuo sito Web sarà più sicuro. Lo stesso vale per temi e plugin.
26. Stai attento con i nuovi utenti
Se hai più autori su un blog, fai attenzione quando aggiungi nuovi utenti. Più persone hanno accesso al pannello di amministrazione, più cose possono andare storte. Se possibile, limitare la loro accessibilità alle funzionalità principali.
27. Monitora la tua attività
Vuoi tenere d'occhio ciò che i tuoi utenti stanno facendo. Questo è vero per qualsiasi sito web multi-autore. Usando il Plug-in WP Security Audit ti mostrerà un elenco completo delle attività degli utenti e puoi persino ricevere rapporti inviati alla tua email.
28. Rimuovi il tuo numero di versione di WordPress
Se la tua versione di WordPress è elencata in modo prominente sul tuo sito Web (e probabilmente lo è), questa può essere utilizzata dagli hacker per personalizzare un attacco perfetto sul tuo sito Web. Puoi nasconderlo aggiungendo a codice al file delle funzioni.
29. Proteggi il tuo computer
Se il tuo computer o dispositivi non sono sicuri, non lo è nemmeno il tuo sito web. Installa uno scanner di malware e virus sul tuo computer per essere consapevole di eventuali problemi di sicurezza. Non accedere mai al tuo sito Web WordPress tramite Wi-Fi pubblico o un sito Web non protetto.
30. Educare te stesso
Ultimo ma non meno importante, prenditi il tempo per educarti sugli attacchi WordPress più comuni. Quanto più sai su come funzionano gli hacker, tanto meglio sarai in grado di combattere gli attacchi prima che accadano.
Come è la tua sicurezza WordPress?
Ora è il momento di dare un'occhiata da vicino alla tua sicurezza di WordPress. Il tuo sito Web è una risorsa enorme. Non rischiare non essendo preparati con la tua sicurezza.
Questi suggerimenti sopra non devono essere eseguiti tutti in una volta. Inizia con i passaggi più importanti e fai crescere la tua strategia da lì.
Tuttavia, assicurati di agire. La cosa peggiore che puoi fare è aspettare un attacco informatico prima di cambiare il tuo sito web. Più il tuo sito WordPress è sicuro oggi, meno problemi dovrai affrontare in futuro.
